DSGVO — Was ändert sich für mich?

Unnö­ti­ge büro­kra­ti­sche Hür­de oder not­wen­di­ger Schritt zum Schutz per­so­nen­be­zo­ge­ner Daten? Bei der DSGVO, der Daten­schutz-Grund­ver­ord­nung, schei­den sich die Geis­ter. Die Ver­ord­nung soll ab dem 25. Mai 2018 einen ein­heit­li­chen Rechts­rah­men in der EU zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten schaf­fen, da bis­her über­all ver­schie­de­ne Daten­schutz­ge­set­ze und damit unter­schied­li­che Stan­dards gel­ten. Aller­dings sind vie­le der Mei­nung, die DSGVO füh­re nicht gera­de zu einer Ver­ein­fa­chung des Daten­schutz­rechts. Statt­des­sen bür­de sie einer Men­ge Men­schen umfang­rei­che büro­kra­ti­sche Pflich­ten auf und schaf­fe zuneh­men­de Rechts­un­si­cher­heit. Wir von Netrocks hel­fen Euch bei digi­ta­len Trend­the­men mit prak­ti­schen Pro­blem­lö­sun­gen und inno­va­ti­ven Ansät­zen, bei­spiel­wei­se wie Big Data einen ech­ten Mehr­wert für Unter­neh­men lie­fern kann!

Die neuen Regeln der DSGVO können einen ganz schön verwirren
Die neu­en Regeln der DSGVO kön­nen ganz schön ver­wir­rend sein

Was ist die DSGVO?

Egal ob Online­shop, E‑Mail-Mar­ke­ting, Wer­be-Coo­kies oder Web­site­ana­ly­sen mit Goog­le Ana­ly­tics — Die stren­ge­ren Schutz­richt­li­ni­en der Daten­schutz-Grund­ver­ord­nung gel­ten in Kür­ze für jeden, der Daten von Kund*innen, Mitarbeiter*innenn oder Geschäftspartner*innen erhebt und nutzt. In 99 Arti­keln regelt das EU-Gesetz damit die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten im Netz — ein­heit­lich euro­pa­weit. Die­se Daten umfas­sen neben sen­si­blen Infor­ma­tio­nen wie Namen, bio­me­tri­schen Daten oder Stand­ort-Daten auch sol­che zur poli­ti­schen Mei­nung, eth­ni­schen Her­kunft oder IP-Adres­sen!

Unter­neh­men müs­sen die Daten zukünf­tig sicher ver­wal­ten und dür­fen die­se nicht mehr ohne aus­drück­li­che Ein­wil­li­gung zu Wer­be­zwe­cken wei­ter­ge­ben. Außer­dem müs­sen sie Aus­kunft geben, inwie­fern Drit­te die Daten eben­falls nut­zen und wo sie die Daten spei­chern. Auf Wunsch müs­sen sie die Daten der Kund*innen löschen. Wenn das nicht geschieht oder wich­ti­ge Bele­ge feh­len, dro­hen saf­ti­ge Buß­gel­der bis zu vier Pro­zent des Jah­res­um­sat­zes! Auf die­se Wei­se, sol­len Bürger*innen die Hoheit über die eige­nen Daten soweit wie mög­lich zurück erhal­ten. Das klingt aus Sicht von Verbraucher*innen erst­mal gut.

Eine über­sicht­li­che Auf­be­rei­tung des offi­zi­el­len PDF der Ver­ord­nung fin­det ihr hier.

Was ändert sich dadurch für mich und mein Unternehmen?

Vie­les ändert sich durch die Neu­re­ge­lun­gen. Denn die DSGVO betrifft wirk­lich JEDES Unter­neh­men, das im Inter­net aktiv ist: Nut­zer-Tracking, Kun­den­da­ten, News­let­ter oder Wer­be­mails, Wer­bung auf Face­book, die eige­ne Daten­schutz­er­klä­rung usw. Bei­spiels­wei­se müs­sen Web­sites ihre Besucher*innen in Zukunft dar­über auf­klä­ren, wel­che Daten sie erhe­ben. Jede® kann zudem die Infor­ma­tio­nen zur eige­nen Per­son anfra­gen und den Zweck, aus dem die­se gesam­melt wer­den. Inner­halb eines Monats müs­sen die Fir­men dann die Daten zur Ver­fü­gung stel­len.

Aller­dings haben wir in Deutsch­land einen klei­nen Vor­teil gegen­über den ande­ren Län­dern: Da in Deutsch­land bereits ein recht hohes Daten­schutz­ni­veau galt, kom­men hier nicht so vie­le Ände­run­gen auf die Händler*innen zu, wie in eini­gen ande­ren EU-Mit­glied­staa­ten.

Checkliste

Der Händ­ler­bund hat bei­spiels­wei­se eine Check­lis­te für Online­shops erstellt. Ihr könn­te die­se hier ein­se­hen und Euch eine kos­ten­freie Aus­wer­tung als PDF erstel­len las­sen.

Wir haben hier außer­dem eine klei­ne all­ge­mei­ne Check­lis­te für Euch zusam­men­ge­stellt:

1. Wenn nötig: Einen Datenschutzbeauftragten benennen

Unter bestimm­ten Vor­aus­set­zun­gen müs­sen Unter­neh­men einen Daten­schutz­be­auf­trag­ten benen­nen. Daten­schutz­be­auf­trag­te sind Pflicht, wenn im Unter­neh­men per­so­nen­be­zo­ge­ne Daten auto­ma­ti­siert, also per EDV, ver­ar­bei­tet wer­den. Die Fach­kun­de des Daten­schutz­be­auf­trag­ten muss, etwa durch Fort­bil­dun­gen bei der Indus­trie- und Han­dels­kam­mer, gewähr­leis­tet sein.

Aus­nah­me: Klei­ne Betrie­be, in denen regel­mä­ßig nur neun oder weni­ger Mit­ar­bei­ter mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäf­tigt sind. Dann braucht ein Unter­neh­men kei­nen Daten­schutz­be­auf­trag­ten und Geschäftsführer*innen kön­nen selbst den Daten­schutz über­neh­men.

2. Legt Prozesse fest und schreibt ein Prozesshandbuch

Es emp­fiehlt sich alle mit Daten­ver­ar­bei­tung ver­bun­de­nen Pro­zes­se zu doku­men­tie­ren und – wenn nötig – zu opti­mie­ren. Zum Bei­spiel was geschieht, wenn Kund*innen dar­auf bestehen, dass sie ihre Daten löschen? Wer ist dann ver­ant­wort­lich?

3. Legt ein „Verzeichnis der Verarbeitungstätigkeiten“ an

Aus Art. 30 der DSGVO ergibt sich, dass jedes Unter­neh­men ein soge­nann­tes „Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten“ anle­gen muss. Es reicht eine ein­fach Tabel­le, in der man auf­lis­tet, wel­che Daten wann, wie und war­um im Unter­neh­men erho­ben wer­den. Hier soll­tet Ihr neben den Daten der Kund*innen auch inter­ne Daten fest­hal­ten, die ver­ar­bei­tet wer­den: Per­so­nal­da­ten, Daten aus der Lohn­buch­hal­tung etc.

In grö­ße­ren Unter­neh­men soll­te die Ernen­nung eines / einer Pro­jekt­ver­ant­wort­li­chen erfol­gen, der / die alle Mitarbeiter*innen oder Partner*innen befragt, die Daten­ver­ar­bei­tung ver­ant­wor­ten.

4. Führt, wenn nötig, eine Datenschutz-Folgeabschätzung durch

Das gilt für alle Unter­neh­men, die mit beson­ders sen­si­blen Daten arbei­ten. Das heißt eine Iden­ti­fi­zie­rung und Kate­go­ri­sie­rung der Per­son ermög­li­chen nach The­men wie bei­spiels­wei­se Krank­heit, Sexua­li­tät, Finan­zen, eth­ni­sche Her­kunft oder poli­ti­sche Ansich­ten. Beim Miss­brauch die­sen Daten besteht ein beson­ders hohes Risi­ko für die Betrof­fe­nen. Eine offi­zi­el­le Lis­te, wel­che Daten­ver­ar­bei­tungs­vor­gän­ge eine Daten­schutz-Fol­ge­ab­schät­zung vor­aus­set­zen, gibt es aber bis­lang nicht. Daher muss im Ein­zel­fall ent­schie­den wer­den.

Muss ich als Betreiber*in einer Website meine Datenschutzerklärung anpassen?

Auf alle Betreiber*innen von Web­sites und Shops oder Unternehmer*innen kom­men mit der EU DSGVO Ände­run­gen der Daten­schutz­be­stim­mun­gen zu. Nahe­zu alle Daten­schutz­er­klä­run­gen auf Web­sites müs­sen bis zum 25. Mai mit Gel­tung der DSGVO neu erstellt oder über­ar­bei­tet wer­den. Zum einen gibt es ein ech­tes Kop­pe­lungs­ver­bot. Das heißt, dass Ein­wil­li­gun­gen nicht mehr an den Down­load von bestimm­ten Inhal­ten wie Check­lis­ten gekop­pelt wer­den dür­fen. Wei­ter­hin gel­ten neue Infor­ma­ti­ons­pflich­ten für Sei­ten, die sich spe­zi­ell an Kin­der rich­ten.

Für vie­le Betreiber*innen einer Web­site wird es ohne pro­fes­sio­nel­le Bera­tung kaum mög­lich sein, die Anfor­de­run­gen zu erfül­len und eine DSGVO-siche­re Daten­schutz­er­klä­rung zu erstel­len. Lasst Euch im Zwei­fels­fall bei der Neu­fas­sung bzw. Umar­bei­tung Eurer Daten­schutz­er­klä­rung anwalt­lich bera­ten.

Wenn Ihr Euch zeit­mä­ßig nicht in der Lage seht, Euch stun­den­lang mit Berater*innen oder teu­ren Semi­na­ren auf die DSGVO vor­zu­be­rei­ten, hilft Euch das  DSGVO-Ret­tungs­pa­ket für Unter­neh­men von t3n und auda­tis Con­sul­ting.

Wir setzen uns ein: für Startups, für die Region, für Innovation!

bvds
iuk-unternehmensnetzwerk-osnabrueck
VWO
WJD_LOGO_4c
VfL-Partnerlogos_Club-Lila-Weiss-positiv
WordPress Themes